Compartilhar via

Adicionar e gerenciar contas de administrador

Aplica-se a: Círculo branco com um símbolo X cinza. Locatários da força de trabalho Círculo verde com um símbolo de marca de seleção branca. Locatários externos (saiba mais)

As contas de administrador são usuários em seu locatário externo do Microsoft Entra a quem foram atribuídas funções administrativas. Você pode adicionar uma conta de administrador ao seu locatário criando ou convidando um usuário por meio do Centro de administração do Microsoft Entra ou do Microsoft Graph e atribuindo-lhes uma função de administrador. Se você não atribuir uma função de administrador, o usuário terá permissões de usuário padrão.

Este artigo se concentra no gerenciamento de contas de administrador usando o Centro de administração do Microsoft Entra. Você deve ter pelo menos permissões de Administrador de Usuário para adicionar ou excluir usuários.

Consulte também Gerenciar contas de usuário para consumidores e clientes comerciais para obter informações sobre os usuários finais do aplicativo. Normalmente, esses usuários não têm funções de administrador atribuídas, portanto, retêm permissões de usuário padrão.

Pré-requisitos

  • Se você ainda não criou seu próprio tenant externo do Microsoft Entra, crie um agora.
  • Noções básicas sobre as contas de usuário na ID Externa do Microsoft Entra.
  • Entenda mais sobre as funções de usuário usadas para controlar o acesso a recursos.

Adicionar uma conta de administrador

Use as etapas a seguir para criar uma nova conta de usuário e conceder permissões de administrador à conta adicionando uma função do Microsoft Entra. (Somente as etapas necessárias são descritas aqui. Para obter uma descrição completa de todas as propriedades, consulte o artigo da ID do Microsoft Entra como criar usuários.)

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Funções Com Privilégios.

  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo do menu Diretórios + assinaturas.

  3. Acesse Entra ID>Usuários.

  4. Selecione Novo usuário>Criar novo usuário.

  5. Na guia Noções básicas , em Identidade, insira informações para este administrador:

    • Nome UPN: insira um nome de usuário exclusivo e selecione um domínio no menu após o símbolo @.
    • Nome de exibição: insira o nome do usuário, como Chris Green ou Chris A. Green.
    • Senha: copie a senha gerada automaticamente ou desmarque a opção Gerar senha automaticamente e insira uma senha diferente. Você precisa dar essa senha ao administrador para entrar pela primeira vez.

  6. Selecione a guia Atribuições e use as etapas a seguir para atribuir uma função ao usuário. (Adicionar um grupo é opcional).

    • Selecione + Adicionar função.
    • No menu exibido, escolha até 20 funções na lista. Você pode atribuir o usuário a uma ou mais das funções de administrador na ID do Microsoft Entra.
    • Selecione o botão Selecionar .

  7. Selecione o botão Examinar + criar .

O administrador é criado e adicionado ao seu locatário externo.

Convidar um administrador (conta de convidado)

Você também pode chamar um novo usuário convidado para gerenciar seu locatário. Para convidar um novo usuário convidado com permissões de administrador, siga estas etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Funções Com Privilégios.

  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo do menu Diretórios + assinaturas.

  3. Acesse Entra ID>Usuários.

  4. Selecione Novo usuário>Convidar usuário externo (versão prévia).

  5. Na guia Noções básicas, insira informações para o usuário:

    • Email. Obrigatório. O endereço de email do usuário que você gostaria de convidar.
    • Nome de exibição. O primeiro e último nome do novo usuário. Por exemplo, Mary Parker.
    • Em Mensagem de convite:
      • Selecione a caixa de seleção Enviar mensagem de convite se você quiser enviar o email de convite para o usuário. Caso contrário, desmarque a caixa de seleção.
      • Na Mensagem , adicione uma mensagem pessoal para incluir no email de convite.
      • Para enviar uma cópia do email de convite a alguém, adicione seu endereço de email na caixa de texto do destinatário cc .
      • A URL de redirecionamento de convite é padrão para MyApplications, que é onde o usuário é redirecionado quando resgata o convite. Você pode alterá-la para uma URL diferente.

  6. Selecione a guia Atribuições e use as etapas a seguir para atribuir uma função ao usuário. (Adicionar um grupo é opcional).

    • Selecione + Adicionar função.
    • No menu exibido, escolha até 20 funções na lista. Você pode atribuir o usuário a uma ou mais das funções de administrador na ID do Microsoft Entra.
    • Selecione o botão Selecionar .

  7. Selecione o botão Revisar + convidar .

Um email de convite é enviado para o usuário. O usuário precisa aceitar o convite para poder entrar.

Alterar ou adicionar uma atribuição de função

Você pode atribuir uma função ao criar um usuário ou chamar um usuário convidado. Você pode adicionar, alterar ou remover uma função para um usuário:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Funções Com Privilégios.
  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo do menu Diretórios + assinaturas.
  3. Acesse Entra ID>Usuários.
  4. Selecione o usuário cujas funções você deseja alterar. Em seguida, selecione Funções atribuídas.
  5. Selecione Adicionar atribuições, selecione a função a ser atribuída (por exemplo, Administrador de Aplicativos) e, em seguida, escolha Adicionar.

Excluir uma atribuição de função

Caso precise remover uma atribuição de função de um usuário, siga estas etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Funções Com Privilégios.
  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo do menu Diretórios + assinaturas.
  3. Acesse Entra ID>Usuários.
  4. Selecione o usuário cujas funções você deseja alterar. Em seguida, selecione Funções atribuídas.
  5. Selecione a função que você deseja remover, por exemplo, Administrador de Aplicativos e, em seguida, selecione Remover atribuição.

Revisar atribuições de função da conta de administrador

Como parte de um processo de auditoria, você normalmente revisa quais usuários são atribuídos a funções específicas no seu diretório de cliente. Use as etapas a seguir para auditar quais usuários estão atualmente atribuídos a funções com privilégios.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Funções Com Privilégios.
  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo do menu Diretórios + assinaturas.
  3. Navegue até o Entra ID>Funções & administradores.
  4. Selecione uma função, como Administrador de Usuário. A página Atribuições lista os usuários com essa função.

Excluir uma conta de administrador

Para excluir um usuário existente, você deve ter pelo menos a atribuição de função administrador de usuário . Os Administradores de Autenticação Com Privilégios podem excluir qualquer usuário, incluindo outros administradores. Os Administradores de Usuários podem excluir qualquer usuário não administrador.

  1. Conecte-se ao Centro de Administração do Microsoft Entra como pelo menos um Administrador de Autenticação com Privilégios.
  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para seu locatário externo do menu Diretórios + assinaturas.
  3. Acesse Entra ID>Usuários.
  4. Selecione o usuário que deseja excluir.
  5. Selecione Excluir e sim para confirmar a exclusão.

O usuário é excluído e não aparece mais na página Todos os usuários . O usuário pode ser visto na página Usuários Excluídos pelos próximos 30 dias e pode ser restaurado durante esse período. Para obter mais informações sobre como restaurar um usuário, consulte Restaurar ou remover um usuário excluído recentemente usando a ID do Microsoft Entra.

Proteger contas administrativas

Recomendamos que você proteja todas as contas de administrador com MFA (autenticação multifator) para obter mais segurança. A MFA é um processo de verificação de identidade durante a entrada que solicita ao usuário uma senha de uso único.

A Microsoft recomenda que as organizações tenham duas contas de acesso de emergência somente na nuvem atribuídas permanentemente à função de Administrador Global . Essas contas são altamente privilegiadas e não são atribuídas a indivíduos específicos. As contas são limitadas a cenários de emergência ou "break glass" em que contas normais não podem ser usadas ou todos os outros administradores estão bloqueados acidentalmente. Essas contas devem ser criadas de acordo com as recomendações de conta de acesso de emergência.